中型企業(yè)網(wǎng)絡設計

吳雙

(南昌交通學院,江西南昌 330000)

0 引言

為了更好的管理企業(yè)的內(nèi)部網(wǎng)絡,根據(jù)要求實現(xiàn)部門之間的通信,降低管理成本,提高內(nèi)網(wǎng)安全和業(yè)務能力,搭建一個完善的、安全的綜合型企業(yè)內(nèi)網(wǎng)顯得十分必要。有線和WLAN 的共存可以使企業(yè)內(nèi)部的布線更加簡潔,便于日后的管理與維護,可以更好的提高企業(yè)的業(yè)務能力[1-2]。對于搭建的網(wǎng)絡同時也要考慮到可拓展性,為未來的網(wǎng)絡升級和更新打下良好的基礎。

1 內(nèi)網(wǎng)架構設計

通過eNSP畫出總體的內(nèi)網(wǎng)拓撲圖,規(guī)劃出各部門,分配好各部門的IP網(wǎng)段,配置好劃分出來的各區(qū)域的路由器交換機等設備,先實現(xiàn)各區(qū)域內(nèi)部網(wǎng)絡互通。由于企業(yè)網(wǎng)絡層次化明顯,故采用OSPF 協(xié)議、OSPF 協(xié)議采用SPF算法,天然無環(huán),以實現(xiàn)各區(qū)域間網(wǎng)絡互通,同時各區(qū)域的路由器也隔離了廣播域,根據(jù)企業(yè)要求,配置域間流量策略,控制流量走向。區(qū)域內(nèi)部的網(wǎng)絡設計也要考慮到可靠性,安全等多方面因素。優(yōu)化各區(qū)域設備配置,達到真正意義上的負載均衡和鏈路冗余,以及減輕設備的內(nèi)存負荷,為了保護內(nèi)網(wǎng),需要在防火墻配置NAT 協(xié)議,使內(nèi)網(wǎng)設備轉換IP地址后可以上網(wǎng)[3]。實驗拓撲圖1所示。

圖1 實驗拓撲Fig.1 Experimental topology

2 方案實施

將企業(yè)內(nèi)部網(wǎng)絡規(guī)劃出三個區(qū)域:業(yè)務辦理區(qū)域,辦公區(qū)域和server區(qū)域[4]。

2.1 office區(qū)域

采用旁掛式AC 三層WLAN 組網(wǎng),LSW1 作為STA 的DHCP 服務器,AC 作為AP 的DHCP 服務器,采用隧道傳輸,便于管理,但是要考慮到問題是隧道通信會增加AC 的負擔。對此可以AC可采用直接轉發(fā)模式,SW1 上也可旁掛DHCP 服務器,減輕AC 和SW1 的數(shù)據(jù)傳輸壓力。AC 上配置WLAN 業(yè)務,三個部門對應三個AP組,開啟2.4G射頻模板,密碼采用WPA-WPA2 模式,基于AES加密。office區(qū)域下掛一個小型的企業(yè)網(wǎng)絡,運行RIP協(xié)議,關閉匯聚,分公司用戶可以通過office區(qū)域和公網(wǎng)通信。內(nèi)部SW3配置DHCP 中繼,終端通過DHCP 服務器獲取地址。DHCP 中繼配置圖2 所示。

圖2 DHCP 中繼配置Fig.2 DHCP relay configuration

2.2 業(yè)務辦理區(qū)

考慮到業(yè)務辦理區(qū)的鏈路流量負載大,且對網(wǎng)絡的可靠性要求較高,該區(qū)域采用MSTP(多生成樹協(xié)議)+VRRP(虛擬路由冗余協(xié)議)的組網(wǎng)方式。MSTP是在RSTP的基礎上改進得來,可以將網(wǎng)絡修剪成一個無環(huán)的樹形網(wǎng)絡,避免報文在鏈路中無限循環(huán)造成MAC 地址表漂移。通過將VLAN劃分到不同的實例中,通過實例改變交換機的端口狀態(tài),實現(xiàn)數(shù)據(jù)的負載均衡,同時提供了多個可以轉發(fā)數(shù)據(jù)的冗余路徑,做到了鏈路備份彌補了STP 收斂慢和RSTP 可靠性不高的缺點。而VRRP 則可以虛擬出多個虛擬IP 作為下行設備的網(wǎng)關,一旦主設備不可用,VRRP 提供的動態(tài)轉移機制,報文可以通過備份設備轉發(fā),MSTP+VRRP的組網(wǎng)方式可以大大提高通信網(wǎng)絡的可靠性。此區(qū)域中,VLAN10,VLAN30 劃分到實例1 中,VLAN20,VLAN40 劃分到實例2中,LSW6 作為實例1的主根,實例2的備根,LSW7 作為實例2 的主根,實例1 的備根,同時LSW6 中VLANIF10 和VLANIF30 的VRRP 組優(yōu)先級大于LSW7,LSW7 中VLANIF20 和VLANIF40 的VRRP組優(yōu)先級大于LSW6,這樣屬于VLAN10,VLAN30 的設備的報文優(yōu)先從左側轉發(fā),屬于VLAN20,VLAN40 的設備的報文優(yōu)先從右側轉發(fā)。MSTP 配置圖3所示,SW4 VRRP 配置圖4所示,SW5 VRRP 配置圖5所示。

圖3 MSTP 配置Fig.3 MSTP configuration

圖4 SW4 VRRP 配置Fig.4 SW4 VRRP configuration

圖5 SW5 VRRP 配置Fig.5 SW5 VRRP configuration

2.3 server區(qū)域

此區(qū)域與防火墻直連,將與防火墻連接的端口劃為server區(qū)域,公網(wǎng)可通過公網(wǎng)IP訪問內(nèi)網(wǎng)的服務器。配置Nat Server將內(nèi)部服務器映射到公網(wǎng),對外提供FTP和HTTP服務。防火墻NAT Server配置圖6所示。

圖6 防火墻NAT Server 配置Fig.6 Firewall NAT server configuration

3 安全策略

3.1 基于防火墻

企業(yè)出口選兩臺防火墻配置雙機熱備,所有區(qū)域都采用雙出口,防火墻配置域間流量策略,對需要轉發(fā)的數(shù)據(jù)包的包頭和數(shù)據(jù)轉發(fā)規(guī)則進行比較,通過報文的源目MAC地址、源目IP地址等匹配網(wǎng)絡中的數(shù)據(jù)流,根據(jù)比較的結果選擇轉發(fā)或者丟棄報文。放行office區(qū)域、trust區(qū)域到達server區(qū)域的icmp、ftp、http服務,用戶可以正常訪問server區(qū)的服務器。在防火墻配置NAT方式為Easy-IP的地址轉換模式,內(nèi)網(wǎng)用戶在地址轉換后可以正常上網(wǎng),控制其余區(qū)域間互訪的流量及server區(qū)主動訪問內(nèi)網(wǎng)其他區(qū)域的流量不可通過[5]。防火墻安全策略配置圖7 所示,NAT 策略配置圖8 所示。

圖7 防火墻安全策略配置Fig.7 Firewall security policy configuration

圖8 NAT 策略配置Fig.8 Nat policy configuration

3.2 基于OSPF協(xié)議

因為OSPF采用Hello報文發(fā)現(xiàn)鄰居,此時路由器發(fā)現(xiàn)了非法路由器鄰居甲,甲在接入網(wǎng)絡后迅速向OSPF網(wǎng)絡中注入垃圾路由,影響數(shù)據(jù)轉發(fā),此時可以配置OSPF的區(qū)域認證,只有雙方的key-ID口令一致,才可以正常通信,有效防止因加入網(wǎng)絡中的非法路由器而影響網(wǎng)絡。

3.3 基于DHCP協(xié)議

DHCP 的工作原理是通過DHCP 報文從DHCP 服務器的地址池中挑選一個可用的IP 地址分配給發(fā)送了DHCP Discovery報文請求地址的終端,這種方式是存在一定安全隱患的。此時終端連接的交換機若旁掛了一臺非法DHCP 服務器,那么就有可能造成終端無法正常通信,甚至出現(xiàn)攔截,篡改,重放等攻擊。在旁掛了DHCP服務器的交換機上開啟DHCP Snooping,可以將合法服務器劃分到信任端口,終端只會通過合法服務器獲取IP地址。

3.4 基于STP協(xié)議

若交換機的邊緣接口接入了交換設備,邊緣接口會轉換為普通接口,可能會導致整個網(wǎng)絡重新計算BPDU,影響數(shù)據(jù)通信;若是攻擊者進行BPDU 攻擊,也會使網(wǎng)絡癱瘓。開啟BPDU 保護是一種解決此類問題的有效方法,邊緣接口接受到BPDU會告警并立即關閉端口,且無法自動恢復需要手動開啟端口。

3.5 基于網(wǎng)絡安全

若有非法用戶向AC 發(fā)送大量的ARP 報文,會導致AC超負荷,且這些ARP條目會耗盡AC的ARP表的資源,導致內(nèi)網(wǎng)其他無線用戶無法正常的通信,可以在AC 上配置全局的ARP嚴格學習,雖然接口下配置此功能優(yōu)先級更高,效果更好,但是不易于管理和操作。無線AP 開啟WIDS 攻擊檢測,可以有效的防御泛洪攻擊,暴力破解和ARP欺騙攻擊等攻擊手段,并且記錄非法設備信息,配合動態(tài)黑名單,可以自動丟棄非法設備的攻擊報文。MAC泛洪攻擊主要是利用局域網(wǎng)交換機的MAC 學習和老化機制。而ARP欺騙則是更改內(nèi)網(wǎng)用戶的網(wǎng)關MAC 地址為攻擊者設備的MAC 地址,導致用戶無法上網(wǎng)甚至出現(xiàn)信息泄露。

4 網(wǎng)絡優(yōu)化

網(wǎng)絡的優(yōu)化可以加快網(wǎng)絡的收斂速度,保證網(wǎng)絡設備的穩(wěn)定性、安全性,減輕設備的負荷。

4.1 路由表及LSDB優(yōu)化

路由器的接口激活了OSPF 后就會開始發(fā)送和接收Hello 報文通過DD 報文的交互,路由器知道鄰居擁有的LSA,發(fā)送LSR 向對方請求完整LSA,對方發(fā)送LSU 回應LSR發(fā)送新的LSA。

LSA的種類繁多,通過匯總某些LSA,來簡化LSDB,在邊界路由器上做匯總,來匯總一個區(qū)域的內(nèi)部明細路由。

OSPF還有很多的區(qū)域類型:(1)當一個區(qū)域不需要引入外部路由時,此時將此區(qū)域配置為Stub Area(末梢區(qū)域),可以阻擋Type-4(四類)、Type-5(五類) LSA進入此區(qū)域以減少該區(qū)域內(nèi)的泛洪的LSA 數(shù)量,減小路由表的規(guī)模,此時該區(qū)域的ABR會下發(fā)一條Type-3 LSA來描述到達區(qū)域外的默認路由,設備的資源消耗大大降低。注:骨干區(qū)域不可以被配置為Stub區(qū)域,所有接到該Stub區(qū)域的路由器都應進行相應的配置,避免影響OSPF的鄰接關系的建立。(2)在(1)中闡述的Stub區(qū)域可以阻擋Type-4和Type-5 LSA 發(fā)布到該區(qū)域,但設想,若一個區(qū)域還下掛著一個小型網(wǎng)絡,該網(wǎng)絡采用不同于OSPF的路由協(xié)議,如RIP,此時采用路由重分發(fā)是解決兩區(qū)域連通問題的最直接的方法,此時則將區(qū)域配置為NSSA Area(非完全末梢區(qū)域)。此區(qū)域由Stub區(qū)域演變而來,繼承了Stub區(qū)域阻擋四類,五類LSA發(fā)布到該區(qū)域的特點,這時引入到該區(qū)域的外部路由會以Type-7(7類) LSA的形式(LSDB中顯示為NSSA LSA)下發(fā)到該區(qū)域中,一定程度上縮小了路由表的規(guī)模。7類LSA只能在NSSA區(qū)域內(nèi)泛洪,該區(qū)域會將7類LSA轉換為5類LSA注入到骨干區(qū)域Area 0[6]。

4.2 STP優(yōu)化

雖然運行了STP的交換機產(chǎn)生環(huán)路的風險極低,但是為了工作效率,需要終端設備快速上線,此時將連接了終端的端口配置為邊緣端口,但是這些端口仍然會繼續(xù)發(fā)送BPDU報文,開啟BPDU過濾可以過濾這些報文,減少資源損耗。STP端口狀態(tài)變更過慢,對于通信延時要求高的網(wǎng)絡是致命缺點,可以配置交換機運行RSTP,RSTP 通過P/A 機制,經(jīng)過BPDU 的交互確認根橋,根端口和指定端口。根橋發(fā)送Proposal置為BPDU,連接根橋的交換機完成同步后立即改變端口狀態(tài),并發(fā)送Agreement置為BPDU,根橋也會立即改變狀態(tài)[7]。

4.3 無線網(wǎng)絡優(yōu)化

關閉射頻調優(yōu),手動配置AP工作在不同的信道,降低信道的資源搶奪。企業(yè)內(nèi)部為了規(guī)范員工上網(wǎng)行為,可以配置SAC(無線感知技術),可以根據(jù)應用的類型控制WLAN 用戶的行為,如放行語音通話的流量,對QQ 等應用進行限速。

4.4 策略路由

通過策略路由可以控制鏈路流量的走向,達到分流效果,實現(xiàn)鏈路負載均衡,可以利用ACL 匹配特定數(shù)據(jù)流,基于源目IP、源目MAC、源目端口等執(zhí)行特定的行為,如:數(shù)據(jù)重定向,丟棄等操作。圖9所示中的分公司部分,屬于VLAN10 的流量通過上鏈路轉發(fā),屬于VLAN20 的流量通過下鏈路轉發(fā),策略路由的好處是不會影響未匹配數(shù)據(jù)的正常轉發(fā)。策略路由分為本地策略路由和流策略路由,合理的使用策略路由可以大大優(yōu)化鏈路狀態(tài),減小鏈路的負載。

圖9 策略路由配置Fig.9 Policy routing configuration

4.5 防火墻優(yōu)化

將兩臺防火墻G1/0/3劃入dmz區(qū)域,作為心跳端口并使能HRP。防火墻部署在網(wǎng)絡的出口位置,若出現(xiàn)故障會導致整個內(nèi)部網(wǎng)絡癱瘓,此時需要兩臺防火墻實現(xiàn)雙機熱備,可以提升網(wǎng)絡整體的可靠性,當其中一臺防火墻出現(xiàn)故障時,數(shù)據(jù)可以平滑的通過另一臺設備進行轉發(fā)。配置VGMP組hrp track檢測上下行鏈路狀態(tài),作為主備備份形式的雙機熱備形式,防火墻同時還要配置OSPF Cost功能,設備可以自動判斷自己是主設備還是備份設備,備份設備可以將上下行的數(shù)據(jù)都轉發(fā)到主設備上,實現(xiàn)主備備份[8]。VGMP管理組監(jiān)控物理接口狀態(tài)圖10所示。

圖10 VGMP 管理組監(jiān)控物理接口狀態(tài)Fig.10 VGMP Management Group monitors physical interface status

重新設定HRP 鏈路探測的時間間隔和主備設備搶占時間,以實現(xiàn)設備故障時的及時切換,注意主備設備設置的時間間隔和搶占時間要一致。

5 結語

沒有完美無缺的協(xié)議,巧用各協(xié)議和技術的搭配可以設計出一個更好的,更加可靠的,安全的企業(yè)網(wǎng)絡,綜合企業(yè)網(wǎng)絡的結構特點采用不同的路由協(xié)議,針對需要防范的網(wǎng)絡攻擊對設備進行相應的安全配置等都是關鍵所在。